「.zombi2」拡張子に暗号化するMedusaLockerランサムウェア

「.zombi2」拡張子に暗号化するMedusaLockerランサムウェアの亜種が、2024年1月から何件かご依頼、感染問い合わせが入っています。

zombi2 Ransomware
クリックすると拡大表示

翻訳したものは下記になります。
zombi2 Ransomware

MedusaLockerランサムウェアは、2020年から何度も拡張子を変更させて感染拡大をしています。
また、大きな特徴として、一度感染させた相手に対して何度も攻撃を続けるという特徴があります。

データファイル名の拡張子のうしろに「.zombi2」を加えて暗号化をしてしまいます。
例えば、「1.jpg」だと「1.jpg.zombi2」にされてしまいます。

暗号化が終わったフォルダごとに「HOW_TO_BACK_FILES.html」ファイルが保存されます。
その内容は上記の画像になります。
画像では、YOUR PERSONAL IDの識別情報は「*」にしておきました。

PERSONAL IDは、合計で1708文字、16進数ではありません。
犯人とチャットが出来るonionサイトのURL表示が最下行にあるのですが、今はオフラインになっています。

現在、onionサイト内にMedusaLockerの情報漏洩サイトが作られており、二重恐喝をするランサムウェアでもあります。
以前は、身代金を支払わないのならばデータを再販業者に売り渡すと書かれていました。

72時間以内に連絡しろと書かれています。
あまり時間を置いてしまうと、身代金が高くなると書かれています。

実行ファイルは5本一組になっており、Microsoft社製のセキュリティソフトだと
Ransom:Win32/MedusaLocker.A!MTB
HackTool:Win32/Mimikatz.D
HackTool:Win32/Ntscan!MSR
HackTool:Win64/Mikatz!dha
Ransom:Win32/Filecoder.RB!MSR
として認識、駆除します。この事からこのランサムウェアは、MedusaLockerランサムウェアの亜種だとわかります。

MedusaLockerランサムウェアの特徴は、
1)感染したシステムでマッピングされたネットワークドライブを見つけてファイルを暗号化します。
2)同じ暗号化目的で Windows の機能を改ざんし、ネットワークドライブのマッピングを強制的に上書きします。
3)ICMPプロトコルを使用したスイープにより同一ネットワーク上のPCやサーバー他ネットワークデバイスを割り出します。
4)デバイスを検出するとSMBプロトコルにより侵入が可能かどうかを調べます。
5)侵入が可能だと%APPDATA%\Roaming\ ディレクトリ下に自己複製をします。
 名称はsvhost.exeなどのWindowsシステムプログラム名称が使われます。
6)タイムスケジュラー内に15分おきに自己を呼び出すように設定します。
 あとはそのデバイスが再起動されるか、タイムスケジュラー内のトリガーにより起動されればMedusaLockerランサムウェアが動きだします。

当社では2通りの解決方法を持っています。
犯罪者と交渉をしないでデータを取り戻す手法も開発しています。
感染後すぐに依頼されれば、高い取得率があります。時間の経過とともに取得率は下がります。
取得率が100%近い復号サービスもあります。

データを戻した後の再発措置防止コンサルティング、感染経路調査コンサルティング、情報漏洩調査、業務再運用コンサルティングをしています。

無料相談(10分程度)をしています。
被害に遭われた方々のお力になれると思います。

上記の画像が表示されたらすぐにシャットダウンして依頼されれば身代金を払わずに解決する方法があります。
暗号化されてしまう被害に遭うと何か月か置いてから2次感染、3次感染と被害が続きます。適切な再発防止措置が必要です。

どのようなケースであってもデータを戻す復号サービスをしています。お困りの方はご連絡下さい。

※当社の記事は実際にランサムウェアに対応した作業や事実に基づく内容です。当記事は転載禁止です。
※当社プログの記事を勝手に引用しているCyberSecurity.com、CyberSecurity-jp.comという業者がいます。その寄せ集めの情報には、かなり誤った情報が書かれています。

リカバリーしない修理で
データや設定を残したまま修理可能です

無料電話相談実施中。お気軽にご相談ください。042-735-1600

当社独自のハードディスク修復技術と手作業によるウイルス・ランサムウェア駆除でハードディスクを今まで通り使えるように修理します。

リカバリー(初期化)をしてしまうとインストールしたプログラムやデータファイル、ライセンス情報、インターネット設定、メールメッセージ・アカウント、プリンタ設定、電子証明書などが消えてしまいます。リカバリーをしない現状復旧修理なら再インストールや再設定の手間がかからず、修理後すぐに今まで通りパソコンをお使いいただけます。

▼ 詳細はマイクロデータベースホームページへ